Sicherheit von Linux, mit Sudo und ohne Sudo

Smalltalk
Benutzeravatar
MSfree
Beiträge: 10685
Registriert: 25.09.2007 19:59:30

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von MSfree » 20.03.2017 20:12:17

thoerb hat geschrieben:Die Sudo-Befürworter argumentieren damit, dass man um an das Benutzerpasswort zu kommen erst mal einen Benutzernamen kennen muss, während root von vornherein bekannt ist. Deswegen empfehlen die root zu deaktivieren.
Uih, Security by Obscurity = ganz dünnes Eis :mrgreen:

Um Benutzername und das dazu gehörende Paßwort herauszubekommen, reicht es aus, den Windows XP Rechner, von dem sich der User einlogt, zu hacken. Kennt dieser User das Root-Paßwort nicht, wird er dieses auch nicht (richtig) eingeben und der geknackte XP-Rechner kann auch die nötigen Tastatureingaben nicht wirksam mitlesen.

Im Gegensatz dazu hat der Admin, der die Kiste auch mal als Root administriert, eine hoffentlich abgesicherte Linuxkiste ohne Windows-Trojaner.

TomL

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von TomL » 20.03.2017 20:19:18

Meiner Meinung nach muss man das auch mal ganz emotionslos vor dem Hintergrund betrachten, dass "sudo" und "pkexec" beide exakt dasselbe leisten, nämlich ein Programm als anderer User oder mit root-Rechten zu starten. Bei beiden muss dafür ein Password eingegeben werden, mit dem man überhaupt erst autorisiert wird und bei beiden kann man die PWD-Abfrage auch rauskonfigurieren. Insofern bestehen aus dieser Perspektive gar nicht so viele Unterschiede. Anscheinend gleiche Stärken und gleiche Schwächen

Ich glaube, dass man aber trotzdem zu einem ganz nüchternen Fazit kommen kann, dass "sudo" zwar tut, was es soll und mit Sachverstand tatsächlich erfolgreich genutzt werden kann, aber das es trotzdem nicht nur entbehrlich, sondern sogar überflüssig ist. Und ganz sicher ist auch ein Fazit, dass es mit vorhandenem Sachverstand nicht mehr Risiken beinhaltet, als pkexec.

Für mich sind es simple Fakten, die mich "sudo" als unnötig und überflüssig erkennen lassen:

Code: Alles auswählen

Bei Debian ist sudo zwar Standard, aber nach        Das polkit ist Standard und somit vom Installer
Willen des Installers gemäß seiner Default-         automatisch und mit Funktionsinhalten für die 
Einstellungen nicht automatisch mit "Funktions-     Desktops installiert. Da stellt sich die Frage: 
inhalten" installiert.                              Wie sinnvoll sind 2 Pakete mit exakt gleicher 
                                                    Aufgabe?


sudo wurde Anfang der 90er für Systeme ohne         Das polkit wurde in Anlehnung an die Windows-
Endanwender und ohne Anwendungen konzipiert,        UAC entwickelt. Das heisst, die Zielrichtung 
für desktoplose Maschinen, um stellvertretende      ist direkt der End-Anwender-PC, der eben gerade
Admins zu einzelnen begrenzten Aufgaben             auch ein Multi-User-PC sein darf
an der Maschine zu bgerechtigen. 


sudo kann keine grafischen Anwendungen hand-        Das Polkit startet mit pkexec sowohl Terminal-
haben, dazu sind weitere Programme wie kdesudo      als auch grafische Anwendungen
oder gksudo notwendig, die nach Bedarf ausge-
wählt werden müssen. Das bedeutet weitere 
notwendig Programme und damit weitere mögliche 
Exploits, und weitere Ungenauigkeit bezgl. des 
Einhaltens von Vorgaben und Regeln. 


Unter sudo ist der Pwd-Keep eine Default-Ein-       Das policykit kennt auch den Pwd-Keep, der aber 
stellung, die nach der Erledigung des mit sudo      speziell für jede Ausführungs-Autorisierung 
ausgeführten Befehls das System minutenlang         explizit erlaubt werden muss. Default ist diese 
geöffnet lässt. Das heisst, für weitere Befehle     Einstellung "off"
mit root-Rechten wird zunächst kein Password 
abgefragt.


Wenn ich meine Windows-Gewohnheiten beibehalten     Das Policykit sieht dafür meines Wissens keine
möchte, weil ich ja der super-mega-coole Linux-     Möglichkeit vor.
Kenner bin und gerade mein erstes Linux erfolg-
reich installiert habe, schaffe ich mir diese 
nervige Password-Abfrage mit einem Wisch vom 
Hals:      TomL ALL=(ALL) NOPASSWD:ALL


%sudo ALL=(ALL):ALL erlaubt allen Mitgliedern       Das Policykit sieht dafür meines Wissens keine
der Gruppe "sudo" generell alle Programme mit       Möglichkeit vor. 
root-Rechten auszuführen. Meine persönliche 
Meinung dazu ist, dass ich es heute für falsch 
halte, wenn ein User überhaupt diese Möglichkeit 
hat. Selbst ein privater Anwender sollte überhaupt
keine Möglichkeit dazu haben, mit seinem Namen
system-relevante Befehle auszuführen. Ich gestehe
zu meiner Schande, dass ich zu Beginn meiner Linux-
Laufbahn versucht habe, eine exakte Abbildung von 
Windows einzurichten. Das heisst, der obige "NOPASSWD"
in der sudoers und die meisten Desktop-Icons hatte
ich mit "sudo" versehen. Bei Windows hatte ich ja 
schließlich auch permanente Admin-Rechte. Die dadurch 
ausgelösten Probleme sind heute noch unter ubunutusers 
nachzulesen, weil mein  Profil wahllos mit root:root 
und thomas:thomas zerschossen war. 


"sudo" kennt seit jeher die Gruppe "sudo".          Verschiedene Distris nutzen für das polkit in 
                                                    den typischen/obligatorischen Desktop-Rules 
                                                    ebenfalls die Gruppe "sudo".
                                                    Offene Frage: Gibt es Wechselwirkungen zwischen 
                                                    sudo und polkit? Welche? Zum Beispiel, dass die 
                                                    Einstellungen in dem einen Paket unbemerkt Löcher 
                                                    im anderen öffnen? Zumindest sollte man diese 
                                                    Möglichkeit prüfen und ggf. entsprechend reagieren.
                    
                        
Die sudo-Fähikgeiten sind arg limitiert             pkexec kann ganz einfach via bash-alias die Grund-
                                                    Funktionalität von "sudo" übernehmen, ohne dabei 
                                                    über die Schwächen von "sudo" zu verfügen und ohne 
                                                    das der Anwender diese Änderung nachteilig bemerkt. 
                                                    Im Gegenteil, gehts auch um grafische Anwendungen 
                                                    ist ggf. nur ein Wrapper zur X-Autorisierung 
                                                    notwendig.
Für mich gibts wirklich nur eine gute Begründung für "sudo", wo der Versuch das zu widerlegen auch völlig unsinnig wäre: "Ich nutze das seit jeher und weiss damit umzugehen." Wer das sagt, hat imho absolut Recht, "sudo" so wie schon immer zu nutzen und der macht auch nichts verkehrt.
Zuletzt geändert von TomL am 20.03.2017 20:35:23, insgesamt 3-mal geändert.

thoerb
Beiträge: 1677
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von thoerb » 20.03.2017 20:30:18

MSfree hat geschrieben: Um Benutzername und das dazu gehörende Paßwort herauszubekommen, reicht es aus, den Windows XP Rechner, von dem sich der User einlogt, ...
Wer so was macht, dem ist eh nicht mehr zu helfen. Aber ich habe verstanden auf was du hinaus willst.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von Lord_Carlos » 20.03.2017 20:34:56

MSfree hat geschrieben: Um Benutzername und das dazu gehörende Paßwort herauszubekommen, reicht es aus, den Windows XP Rechner, von dem sich der User einlogt, zu hacken. Kennt dieser User das Root-Paßwort nicht, wird er dieses auch nicht (richtig) eingeben und der geknackte XP-Rechner kann auch die nötigen Tastatureingaben nicht wirksam mitlesen.

Im Gegensatz dazu hat der Admin, der die Kiste auch mal als Root administriert, eine hoffentlich abgesicherte Linuxkiste ohne Windows-Trojaner.
Bin mir nicht sicher ob du das Ernst meinst. Das hat ja nichts mit Sudo oder nicht sudo zu tun.
Genau so gut kann man auch sagen der sudo benutzter logt sich uebers abgesicherte Linux ein und der admin via einer XP kiste.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
Revod
Beiträge: 3788
Registriert: 20.06.2011 15:04:29
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von Revod » 20.03.2017 20:54:49

@ MSfree

bist mir zuvor gekommen, in der Art " Dünnes Eis " wollte ich es auch schreiben, auch im Zusammenhang mit Total Vornamen, und auch Namen mit Vornamen, weil da genügt alleine das Telefonbuch.

Hingegen 24 bit Verschlüsselung Kombinationen mit ca. 10 Zeichen in Zahlen, Buchstaben und ein bis 2 Sonderzeichen, und Minimum noch mit einen Grossbuchstabe irgend wo dazwischen kombiniert ergibt das eine recht mühsame zu knackende Verschlüsselung, ob nun root bekannt, oder unbekannt ist ( siehe WLan,, die haben auch bekannte Provider ). :mrgreen:

Ja das mit dem Benutzernamen wird auch in der Wikipedia so erklärt, wovon ich über diese " Sicherheitshürde " nicht sehr viel davon halte.

Böse Unterstellung von mir, nöö sag ich jetzt nicht... würde zu sehr ausschweifen und zu unendliche Dispute führen... bezüglich missverstehen, das kann Dir, MSfree nach Deiner Formulierung Art auch passieren, siehe " Lord_Carlos " hat sich prompt schon zu Wort gemeldet ... :mrgreen:

@ TomL

... in so fern man pexec mit sudo zusammen nutzt, inkl. der Sudo Schwächen, so habe ich es verstanden. Es wird über ksudo ( gksudo = gtk-sudo ). Über eindeutige Unterschiede von " su " und " sudo " kann ich nirgends herauslesen.

Und wie Du es selber auch schreibst, ... überflüssig ... schon deswegen ist es unlogisch es zusätzlich installiert zu haben, was für alle nicht Ubuntu und seine Derivate Distri gelten sollte.

Warum, dass man vom GKSU abgekommen ist, für System Admin Befehle wie für Terminal, Synaptic und weitere root Anwendungen versteh ich nicht.

Und Sudo sollte dazu verwendet werden wozu es Mal entwickelt wurde und gut ist. :twisted: :mrgreen:
Systemd und PulseAudio, hmmm, nein danke.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von breakthewall » 21.03.2017 02:56:07

Generell kann man sowohl su als auch sudo sicher benutzen. Problematisch wird es meist erst beim Nutzer, bzw. dann wenn Nutzern eine falsche Nutzung von bspw. sudo indoktriniert wird. Aus eigener Erfahrung finde Ich su hier sicherer, aufgrund der strikten Nutzertrennung durch zwei Passwörter. Ebenso macht sich der Übergang zum Root-Nutzer sehr deutlich bemerkbar, sodass ab hier Vorsicht angesagt ist. Dagegen schickst mal eben mitunter sehr bedeutende Befehle mit sudo und nur via Nutzer-Passwort ab, wo es aufgrund des fließenden Übergangs nicht unmittelbar ersichtlich wird, dass man hier nun bezüglich der Rechte hochgestuft wurde. Das mutet mir etwas zu fahrlässig an, besonders im Bezug auf Anfänger. Und etwas was Ich wahrhaftig extrem oft sehe, sind Nutzer denen schon prinzipiell sudo indoktriniert wurde, sodass diese bei wirklich jedem noch so unbedeutenden Befehl immer sudo mitgeben, selbst wenn überhaupt keine Rootrechte erforderlich sind. Gerade unter Ubuntu ist das oft anzutreffen meinen Erfahrungen nach, was nicht weniger als die Sicherheit irgendwo ad absurdum führt. Das heisst zwar nicht das sudo nun schlecht ist, ganz im Gegenteil, doch in falschen Händen kann das katastrophal enden, besonders im Bezug auf die Konfiguration der sudoers Dateí. Dagegen würde ein su plus Root-Passwort mehr Aufmerksamkeit fördern, durch den Wechsel des Prompt und die Notwendigkeit eines weiteren Passwortes. Sicher kann man dann auch als Root jede Menge Mist bauen, aber das kann man auch in der Zeitspanne von 15 Minuten mit sudo. Wobei ein Timeout auch bei su leicht einzurichten ist. Grundsätzlich läuft es mit beiden Lösungen darauf hinaus, dass man mit Verstand bei der Sache ist, und lernt diese Programme richtig zu benutzen.

guennid

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von guennid » 21.03.2017 09:34:13

Meillo, du hast vollkommen recht.

Benutzeravatar
Revod
Beiträge: 3788
Registriert: 20.06.2011 15:04:29
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von Revod » 25.07.2017 15:06:04

Muss dieses Thema erneut ausgraben.

Man sollte diese Info auch am " Packager " vom " gksu " Paket senden, damit dieser das Paket nicht mehr mit der " sudo " Abhängigkeit packt.

Und ja, ich verstehe gewisse Dinge von Debian nicht. Da werden gute Tools, oder SW nicht im Repo aufgenommen / ausgeschlossen wegen mindere, belanglose Bug und Pakete zugelassen, die gravierende Bug, oder Sicherheitslücken haben, hatte es auch ein paar Mal erwähnt.

User die unter Debian Sudo benützen sich es nochmal überdenken sollten und das Debian-System wieder auf " su " umstellen sollten, habe ich immer wärmstens empfohlen.

Ich kenne mich zu wenig aus, punkto Sicherheit, habe nur meine Logik und Intuition, die mich selten getäuscht haben. :mrgreen:
Systemd und PulseAudio, hmmm, nein danke.

Antworten